Blog Sciences du vivant
Certains établissements de santé reconnus « opérateurs d’importance vitale » par un arrêté du 17 avril 2023
L’arrêté publié au Journal officiel le 23 avril (devant entrer en vigueur le 1er juillet 2023) fixe les règles de sécurité et les modalités de déclaration à l’ANSSI des incidents de sécurité des systèmes d’information des établissements de santé [1], reconnus d’importance vitale.
Les établissements de santé sont la cible de nombreuses attaques de leurs systèmes d’information. Les conséquences sont importantes puisqu’elles peuvent entraîner une paralysie des systèmes d’information hospitaliers et occasionner des fuites de données sensibles. Afin de remédier à cette situation, l’arrêté du 17 avril 2023 fixe les règles de sécurité que les opérateurs d’importance vitale sont tenus de respecter pour assurer la protection de leurs systèmes d’information.
Les opérateurs d’importance vitale (« OIV ») sont définis par l’article R. 1332-1 du Code de la défense comme tout opérateur qui « gère ou utilise au titre de cette activité un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement :
- d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ;
- ou de mettre gravement en cause la santé ou la vie de la population ».
À compter de leur désignation en tant que OIV, les établissements de santé sont désormais soumis à ce cadre juridique et se voient imposer des critères de sécurité informatique strictes et nécessairement plus élevés que ceux incombant aux établissements désignés en tant que opérateurs de service essentiels, ce qu’ils étaient jusqu’alors. Si la liste exacte des opérateurs d’importance vitale est classifiée au titre du « secret de la défense nationale », on peut penser que certains centres hospitalo-universitaires (CHU) entrent dans cette liste.
Dans cette optique, l’arrêté et ses annexes précisent :
- les règles de sécurité que les opérateurs d’importance vitale sont tenus de respecter pour protéger leurs systèmes d’information (annexe I) ;
- les délais d’application des règles de sécurité pour les opérateurs concernés (annexe II) ;
- les modalités de déclaration à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) de la liste de leurs systèmes d’information d’importance vitale identifiées par types de système (annexe III) ;
- les modalités de déclaration à l’ANSSI de certains types d’incidents affectant la sécurité ou le fonctionnement de leurs systèmes d’information (annexe IV).
L’article 2 de l’arrêté précise également que dans un délai de trois mois à partir de la date d’entrée en vigueur de l’arrêté ou de sa désignation en tant que OIV, l’établissement de santé doit adresser par courrier à l’ANSSI, la liste des systèmes d’information d’importance vitale qu’il opère, conformément à ce qui est prévu à l’article R. 1332-41-2 du Code de la défense. Un formulaire de déclaration est ainsi rendu disponible sur le site internet de l’ANSSI.
L’OIV est de plus tenu de communiquer une fois par an à l’ANSSI, toute mise à jour de sa liste et des formulaires de déclaration qui interviendrait. Enfin, l’OIV doit également communiquer à l’ANSSI, les coordonnées de la personne chargée de le représenter dans un délai de trois (3) mois à compter de l’entrée en vigueur du présent arrêté ou de sa désignation en tant qu’OIV.
Un deuxième arrêté pour les opérateurs de « veille et alertes sanitaires »
Il est intéressant de noter qu’un second arrêté, pris le 17 avril 2023 (entrée en vigueur prévue pour le 1er juillet 2023), vient également fixer les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale mais cette fois dans le secteur de la « Veille et alerte sanitaires » [2].
Tout comme pour les établissements de santé, les OIV du sous-secteur « veille et alertes sanitaires » (par ex. les agences régionales de santé) sont assujettis aux mêmes délais de trois (3) mois pour la déclaration de la liste des systèmes d’information d’importance vitale à l’ANSSI.